Kandykorn Malware

Kore Demokratik Halk Cumhuriyeti (DPRK) hükümeti tarafından desteklenen siber saldırganların, mesajlaşma platformu Discord aracılığıyla, belirtilmemiş bir kripto para birimi değişim platformuyla ilişkili blockchain uzmanlarını hedef aldığı belirlendi. KANDYKORN adında yeni bir macOS kötü amaçlı yazılımı kullandılar. Bu tehditkar operasyonun kökleri Nisan 2023'e kadar uzanıyor ve ağ altyapısı ve kullanılan taktikler incelendiğinde görüldüğü üzere, Lazarus Grubu olarak bilinen kötü şöhretli bilgisayar korsanlığı grubuyla benzerlikler taşıyor.

Saldırganlar, hedeflenen ortamda bir başlangıç noktası oluşturmak için Python uygulamasını kullanarak blockchain profesyonellerini ikna etti. İzinsiz giriş, her biri tespitten kaçınmak ve güvenlik önlemlerini atlatmak için kasıtlı teknikler içeren çok sayıda karmaşık aşamadan oluşuyordu.

Tehdit Aktörleri, Kandykorn Kötü Amaçlı Yazılımını Yaymak İçin Sosyal Mühendislik Yemlerini Kullandı

Lazarus Group'un operasyonlarında macOS kötü amaçlı yazılımını kullanması yeni bir gelişme değil. Geçtiğimiz yıl, bu tehdit aktörünün tahrif edilmiş bir PDF uygulamasını yaydığı gözlemlendi ve bu da sonunda AppleScript tabanlı bir arka kapı olan RustBucket'in konuşlandırılmasına yol açtı. RustBucket, uzak bir sunucudan ikinci aşama yükünü alma yeteneğine sahipti.

Yeni kampanyayı diğerlerinden ayıran şey, saldırganın halka açık bir Discord sunucusunda blockchain mühendisleri gibi görünme ve kurbanları kötü amaçlı kod içeren bir ZIP arşivini indirip çalıştırma konusunda kandırmak için sosyal mühendislik tekniklerini kullanma taktiğidir.

Kurbanlar, kâr amacıyla platformlar arasındaki kripto para oranlarındaki farklılıklardan yararlanabilen bir yazılım aracı olan arbitraj botu yüklediklerine inandırılıyor. Gerçekte bu aldatıcı süreç, beş aşamalı bir ilerlemeyle ortaya çıkan KANDYKORN'un teslimatına zemin hazırlıyor.

Çok Aşamalı Enfeksiyon Zinciri Kandykorn Kötü Amaçlı Yazılım Bulaşmasını Kolaylaştırıyor

KANDYKORN izleme, etkileşim ve tespitten kaçınma için tasarlanmış geniş bir işlevsellik yelpazesine sahip gelişmiş bir implantı temsil eder. Potansiyel olarak algılama mekanizmalarından kaçabilen bir doğrudan bellek yürütme yöntemi olan yansıtıcı yüklemeyi kullanır.

Bu süreçteki ilk adım, Google Drive'da barındırılan başka bir Python komut dosyasını ('testSpeed.py') alan, 'watcher.py' olarak bilinen bir Python komut dosyasını içerir. Bu ikinci Python komut dosyası bir damlalık görevi görür ve Google Drive URL'sinden 'FinderTools' adlı ek bir Python dosyası getirir.

FinderTools aynı zamanda 'SUGARLOADER' (/Users/shared/.sld ve .log konumunda bulunur) olarak adlandırılan gizli bir ikinci aşama verisinin indirilmesinden ve yürütülmesinden sorumlu bir damlalık görevi de görür. SUGARLOADER daha sonra KANDYKORN'u almak ve doğrudan bellekte yürütmek için uzak bir sunucuyla bağlantı kurar.

SUGARLOADER, meşru Discord uygulaması gibi görünmeye çalışan ve yürütme olarak bilinen bir teknikle kalıcılık sağlamak için '.log'u (yani SUGARLOADER) çalıştıran 'HLOADER' adlı kendinden imzalı Swift tabanlı bir ikili programı başlatarak ek bir rol üstlenir. akış kaçırma.

Nihai yük olarak hizmet veren KANDYKORN, dosya numaralandırma, ek kötü amaçlı yazılım çalıştırma, veri sızdırma, işlemleri sonlandırma ve rastgele komutları yürütme gibi doğal yeteneklere sahip, tam özellikli, bellekte yerleşik bir Uzaktan Erişim Truva Atı'dır (RAT).

KANDYKORN'un varlığı, Kuzey Kore'nin, özellikle Lazarus Grubu gibi kuruluşlar aracılığıyla, kripto para birimiyle ilgili işletmeleri hedeflemeye yönelik sürekli çabalarının altını çiziyor. Birincil hedefleri, ekonomilerinin ve isteklerinin büyümesini engelleyen uluslararası yaptırımları atlatmak için kripto para birimini çalmaktır.